Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Les transformations dans Azure Monitor vous permettent de filtrer ou de modifier des données entrantes avant qu’elles ne soient envoyées à l’espace de travail Log Analytics. Les transformations sont effectuées dans le pipeline cloud une fois que la source de données remet les données et avant qu’elles ne soient envoyées à la destination. Ils sont définis dans une règle de collecte de données (DCR) et utilisent une instruction KQL (Kusto Query Language) appliquée individuellement à chaque entrée dans les données entrantes.
Le diagramme suivant illustre le processus de transformation des données entrantes et montre un exemple de requête qui peut être utilisé. Dans cet exemple, seuls les enregistrements où la message
colonne contient le mot error
sont collectés.
Tables prises en charge
Les tableaux suivants dans un espace de travail Log Analytics prennent en charge les transformations.
- Toute table Azure listée dans Tables prenant en charge les transformations dans les journaux d’activité Azure Monitor. Vous pouvez également utiliser la référence de données Azure Monitor qui répertorie les attributs de chaque table, notamment s’il prend en charge les transformations.
- Toute table personnalisée créée pour l’agent Azure Monitor.
Créer une transformation
Il existe certains scénarios de collecte de données qui vous permettent d’ajouter une transformation à l’aide du portail Azure, mais la plupart des scénarios vous obligent à créer une DCR à l’aide de sa définition JSON ou à ajouter une transformation à une DCR existante. Consultez Créer une transformation dans Azure Monitor pour différentes options et Meilleures pratiques et exemples pour les transformations dans Azure Monitor pour obtenir des exemples de requêtes de transformation pour des scénarios courants.
Transformation de l’espace de travail DCR
Les transformations sont définies dans une règle de collecte de données (DCR), mais il existe toujours des collections de données dans Azure Monitor qui n’utilisent pas encore de DCR. Par exemple, les journaux de ressources collectés par paramètres de diagnostic et les données d’application collectées par Application Insights.
La règle de collecte des données de transformation de l’espace de travail (DCR) est une DCR spéciale qui s’applique directement à un espace de travail Log Analytics. L’objectif de cette DCR est d’effectuer des transformations sur des données qui n’utilisent pas encore de DCR pour sa collecte de données, et n’a donc aucun moyen de définir une transformation.
Il ne peut y avoir qu’un seul DCR d’espace de travail pour chaque espace de travail, mais il peut inclure des transformations pour tout nombre de tables prises en charge. Ces transformations sont appliquées à toutes les données envoyées à ces tables, sauf si ces données proviennent d’une autre DCR.
Par exemple, la table Événement est utilisée pour stocker des événements à partir de machines virtuelles Windows. Si vous créez une transformation dans la DCR de transformation de l’espace de travail pour la table d’événements, elle est appliquée aux événements collectés par les machines virtuelles exécutant l’agent Log Analytics1 , car cet agent n’utilise pas de DCR. La transformation serait ignorée cependant par toutes les données envoyées à partir d’Agent Azure Monitor (AMA), car elle utilise une DCR pour définir sa collecte de données. Vous pouvez toujours utiliser une transformation avec l’agent Azure Monitor, mais vous incluez cette transformation dans la DCR associée à l’agent et non la DCR de transformation de l’espace de travail.
1 L’agent Log Analytics a été déconseillé, mais certains environnements peuvent toujours l’utiliser. Il ne s’agit que d’un exemple de source de données qui n’utilise pas de DCR.
Coût des transformations
Bien que les transformations par elles-mêmes n’entraînent pas de coûts directs, les scénarios suivants peuvent entraîner des frais supplémentaires :
- Si une transformation augmente la taille des données entrantes, par exemple en ajoutant une colonne calculée, vous êtes facturé le taux d’ingestion standard pour les données supplémentaires.
- Si une transformation réduit les données ingérées de plus de 50%, vous êtes facturé pour la quantité de données filtrées supérieure à 50%.
Pour calculer les frais de traitement des données résultant de transformations, utilisez la formule suivante :
[Go filtré par les transformations] : ([Total Go ingéré par le pipeline] / 2). Le tableau suivant contient des exemples.
Données ingérées par le pipeline | Données perdues par transformation | Données ingérées par l’espace de travail Log Analytics | Frais de traitement des données | Frais d’ingestion |
---|---|---|---|---|
20 Go | 12 Go | 8 Go | 2 Go 1 | 8 Go |
20 Go | 8 Go | 12 Go | 0 Go | 12 Go |
1 Ces frais excluent les frais pour les données ingérées par l’espace de travail Log Analytics.
Pour éviter ces frais, nous vous recommandons de filtrer les données entrantes à l’aide d’autres méthodes avant d’appliquer des transformations. En procédant ainsi, vous pouvez réduire la quantité de données traitées par les transformations et, par conséquent, réduire les coûts supplémentaires.
Consultez les Tarifs Azure Monitor pour connaître les frais actuels d’ingestion et de conservation des données de journal dans Azure Monitor.
Important
Si Azure Sentinel est activé pour l’espace de travail Log Analytics, aucun coût d'ingestion pour le filtrage n'est facturé, quelle que soit la quantité de données que la transformation filtre.